您现在的位置是:首页 > 学无止境 > Web网站首页Web 从OWASP Top10简要分析Web安全漏洞的趋势
从OWASP Top10简要分析Web安全漏洞的趋势
- Web
- 2019-03-08
简介OWASP(The Open Web Application Security Project):开放式Web应用程序安全项目,OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和权威性。字数
546
OWASP(The Open Web Application Security Project):开放式Web应用程序安全项目
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和权威性。
从OWASP组织发布的项目,可以了解历年来主流Web安全漏洞类型,及其随时间而变迁的大致情况。
以下为2010,2013,2017年度发布的Top10 Web安全漏洞排行,可作参考
OWASP项目-传送门:http://www.owasp.org.cn/owasp-project
OWASP Top 10: 2010 VS 2013
OWASP Top 10: 2013 VS 2017
从以上图例观察,这三次发布的Top10 Web安全漏洞排行中,初步分析:
-
1.注入漏洞、失效的身份认证始终分列在第1位和第2位,一定程度说明其重要性和攻击危害的程度
-
2.跨站脚本攻击,在13年前后一段时间里排行也比较靠前,当时XSS算是比较多存在的情况,最近几年也存在不少,但比以往网站已经提高了安全意识进行防御
-
3.敏感信息泄露,由不安全的加密存储和传输层保护不足合并而成。以往也普遍存在该漏洞,当时重视程度并不算太高,但最近几年一些知名的公司暴露出大量用户的隐私信息事件之后,所造成的负面影响比较大,因此越来越开始重视起来
-
4.失效的访问控制,由不安全的直接对象引用和功能级访问控制缺失合并而成。对于攻击者伪造成特权用户、管理员等身份进行数据的操纵,对正常用户和网站管理房都有比较大的威胁,引起危害性较大,近年来也比较受重视
-
5.安全配置错误,这个也是历年来比较常见而且重要的安全问题,因相关配置没有控制好权限和安全规范,导致一些敏感信息暴露,异常抛出时也把权限以外的数据展示出来
-
6.跨站请求伪造,在最近几年似乎没有前几年那么活跃,可能网站管理者对这方面的安全意识越来越高,被利用的难度和代价加大
-
7.使用含有已知漏洞的组件,比如库、框架、模块本身存在已知公开的漏洞还继续使用,则有可能被攻击者所利用,对数据存储、服务器权限操作有安全隐患
-
8.近年新出现的:XML外部实体、不安全的反序列化、不足的日志记录和监控。
1)XXE,基于XML的Web服务,若支持XML外部文件上传提交,可能在XML文件中插入不受信任的数据,提交后由XML处理器解析存在安全风险
2)不安全的反序列化,可能导致远程代码执行,以及权限升级攻击
3)不足的日志记录和监控,缺陷没有及早在本地环境检测和监控到并加以防范,导致有的缺陷一致暴露在正式访问环境中,很有可能被攻击者所利用
转载:
感谢您对莫愁个人博客网站平台的认可,非常欢迎各位朋友分享到个人站长或者朋友圈,但转载请说明文章出处“来源莫愁个人博客 https://www.mochoublog.com/study/106.html”。
- Web
- 2019-03-08
OWASP(The Open Web Application Security Project):开放式Web应用程序安全项目
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和权威性。
从OWASP组织发布的项目,可以了解历年来主流Web安全漏洞类型,及其随时间而变迁的大致情况。
以下为2010,2013,2017年度发布的Top10 Web安全漏洞排行,可作参考
OWASP项目-传送门:http://www.owasp.org.cn/owasp-project
OWASP Top 10: 2010 VS 2013
OWASP Top 10: 2013 VS 2017
从以上图例观察,这三次发布的Top10 Web安全漏洞排行中,初步分析:
-
1.注入漏洞、失效的身份认证始终分列在第1位和第2位,一定程度说明其重要性和攻击危害的程度
-
2.跨站脚本攻击,在13年前后一段时间里排行也比较靠前,当时XSS算是比较多存在的情况,最近几年也存在不少,但比以往网站已经提高了安全意识进行防御
-
3.敏感信息泄露,由不安全的加密存储和传输层保护不足合并而成。以往也普遍存在该漏洞,当时重视程度并不算太高,但最近几年一些知名的公司暴露出大量用户的隐私信息事件之后,所造成的负面影响比较大,因此越来越开始重视起来
-
4.失效的访问控制,由不安全的直接对象引用和功能级访问控制缺失合并而成。对于攻击者伪造成特权用户、管理员等身份进行数据的操纵,对正常用户和网站管理房都有比较大的威胁,引起危害性较大,近年来也比较受重视
-
5.安全配置错误,这个也是历年来比较常见而且重要的安全问题,因相关配置没有控制好权限和安全规范,导致一些敏感信息暴露,异常抛出时也把权限以外的数据展示出来
-
6.跨站请求伪造,在最近几年似乎没有前几年那么活跃,可能网站管理者对这方面的安全意识越来越高,被利用的难度和代价加大
-
7.使用含有已知漏洞的组件,比如库、框架、模块本身存在已知公开的漏洞还继续使用,则有可能被攻击者所利用,对数据存储、服务器权限操作有安全隐患
-
8.近年新出现的:XML外部实体、不安全的反序列化、不足的日志记录和监控。
1)XXE,基于XML的Web服务,若支持XML外部文件上传提交,可能在XML文件中插入不受信任的数据,提交后由XML处理器解析存在安全风险
2)不安全的反序列化,可能导致远程代码执行,以及权限升级攻击
3)不足的日志记录和监控,缺陷没有及早在本地环境检测和监控到并加以防范,导致有的缺陷一致暴露在正式访问环境中,很有可能被攻击者所利用
转载: 感谢您对莫愁个人博客网站平台的认可,非常欢迎各位朋友分享到个人站长或者朋友圈,但转载请说明文章出处“来源莫愁个人博客 https://www.mochoublog.com/study/106.html”。
上一篇:常见Web安全漏洞类型整理
